Segurilatam 003

Tercer cuatrimestre 2016 33 reportaje Ciberseguridad nizaciones sufrió brechas de seguridad de impacto alto y/o significativo que supusieron unas pérdidas económicas superiores a 250.000 dólares, a las que se deben sumar las de carácter reputa- cional. Para responder a estas amena- zas, cuatro de cada 10 organizaciones no cuenta con capacidades, herramien- tas ni procedimientos específicos. Seguridad Corporativa En el caso de España, con el objetivo de conocer la situación actual de la Segu- ridad Corporativa en el país, la Funda- ción Borredá, junto a Deloitte, ha ela- borado un informe en el que han to- mado parte cien empresas. De ellas, el 78% considera que la Seguridad Cor- porativa es un valor añadido para su organización y el 96% afirma contar con un responsable dedicado a dicha ac- tividad –en el 75% de los casos, con el cargo de director de departamento o área–. Además, la práctica totalidad de las empresas consultadas (93%) subcon- trata el servicio de alguna función aso- ciada al área de Seguridad Corporativa. En cuanto a la cualificación profesio- nal, el 76% de las organizaciones dis- pone de planes formativos para el per- sonal del área de Seguridad Corpora- tiva que refuerzan los conocimientos de los riesgos y promueven la impor- tancia de la responsabilidad sobre su gestión y la definición de estrategias específicas. Y por lo que respecta al grado de coordinación entre el área de Seguri- dad Corporativa y el resto de departa- mentos, el mismo puede considerarse notable, ya que en el 50% de los casos se acuerdan los requerimientos entre las diferentes áreas. En este apartado, cabe destacar que en el 41% de las em- presas encuestadas el área de Seguri- dad Corporativa brinda apoyo a todos los departamentos por igual. Por último, las empresas potencial- mente afectadas por la Ley de Protec- ción de Infraestructuras Críticas (PIC) consideran que la incorporación de la ciberseguridad al modelo de seguridad integral (40%) y la elaboración de los planes exigidos por la norma (34%) son chos casos, es inmadura o se encuen- tra lejos de alcanzar unos niveles ópti- mos para afrontar los riesgos actuales. En el caso de los centros de operacio- nes de seguridad (SOC, por sus siglas en inglés), sólo el 25% de las organiza- ciones cuenta con uno. En este sentido, Deloitte recomienda a los CISO avanzar en una estrategia de SOC que permita hacer frente a los desafíos presentes y futuros, así como dar respuesta a nivel ejecutivo sobre cualquier cuestión rela- tiva a los ciberriesgos y la seguridad de la información. Actualmente, las principales capaci- dades de los SOC operativos en la re- gión están enfocadas a la respuesta ac- tiva ante incidentes y compromisos de la seguridad y a la monitorización del tráfico y los datos. Y casi la mitad (45%) de estos centros de operaciones son gestionados por terceros, mientras que en el 30% de los casos el responsable es la propia organización. ¿Resiliencia? Asimismo, la Encuesta 2016 sobre Tenden- cias de Ciberriesgos de la Información en Latinoamérica esclarece que, en los últi- mos dos años, una de cada cuatro orga- Y si bien dicho porcentaje resulta insuficiente, la lectura positiva es que el 36% de los CISO afirma tra- bajar estrechamente con el ejecu- tivo responsable de la administra- ción del riesgo empresarial. Este ali- neamiento, explica Deloitte, es clave para que la inversión en seguridad de la información sea adecuadamente percibida por el negocio. Asimismo, cabe destacar que el 60% de las organizaciones destine un pre- supuesto específico para ser adminis- trado por el CISO, pero no tanto que el 29% haya contado en 2016 con los mis- mos recursos económicos que el año pasado y que el 20% incluso los haya reducido. Amenazas y datos Al ser preguntados por las amenazas que pueden afectar a su organización, los profesionales consultados han se- ñalado en primer lugar el abuso de los privilegios de acceso a información por parte de usuarios internos, situándose a continuación los errores y omisiones en el uso de los sistemas de información por usuarios que deriven en incidentes de seguridad y el robo de información por atacantes internos. A tenor de estas valoraciones, parece claro que el prin- cipal enemigo de las organizaciones se encuentra en el seno de las mismas. Seguidamente figuran las amenazas persistentes avanzadas (APT, por sus si- glas en inglés), el malware generado por atacantes externos y los ciberata- ques que puedan explotar vulnerabili- dades en plataformas y aplicaciones. Y en el apartado de los datos perso- nales, el 72% por ciento de las organiza- ciones contempla alguna normativa de privacidad, lo cual no hace sino confir- mar que, en dicha materia, se está avan- zando en Latinoamérica. Y si bien no existe una tendencia homogénea en la asignación de responsabilidad, de la misma suele ocuparse el CISO. Monitorización Sobre la monitorización proactiva de amenazas y eventos, se observa que en Latinoamérica esta capacidad, en mu- El Tercer ‘Estudio de Seguridad Corporativa’ elaborado en España p o r l a Fu n d a c i ó n Bo r r e d á y Deloi t te de acceso gratui to en. www.fundacionborreda.org .